Переход с Microsoft ISA Server 2006 на Microsoft Forefront.

Система Microsoft Forefront TMG (Threat Management Gateway – Шлюз управления внешними угрозами) является прямым наследником ISA Server 2006 и будет доступна в 2009. В этой статье мы используем бета-версию Microsoft Forefront TMG. Если вы хотите попробовать Forefront TMG в действии, публичная бета-версия доступна на следующем вебсайте: http://www.microsoft.com/forefront/ru/ru/default.aspx. Если вы хотите ознакомиться с специальной версией Microsoft Forefront TMG, уже являющейся RTM, вам нужно попробовать Microsoft Windows Essential Business Server 2008, уже содержащий Forefront Threat Management Gateway, Medium Business Edition. Но не забывайте, что это не та версия, которую Microsoft опубликует в качестве отдельного продукта.

Но перед тем как обновлять ISA Server 2006 до Microsoft Forefront TMG, необходимо осознать следующие ограничения:

* Вы не можете перейти с ISA Server 2006 на Forefront TMG на одной машине, так как ISA Server 2006 предназначен только для 32-битных систем, а Forefront TMG запустится только на Windows 2008 64 Bit;
* ISA Server 2006 невозможно обновить до Forefront TMG во время обновления на месте Windows Server 2003 до Windows Server 2008;
* Microsoft Forefront TMG не поддерживает более 300 лицензированных пользователей;
* Не существует возможности перехода с ISA Server 2006 Enterprise на Microsoft Forefront TMG;
* Не существует возможности перехода с ISA Server 2000 и 2004 на Forefront TMG, сначала обе эти версии нужно обновить до ISA Server 2006;
* Вы не сможете обновить ISA Server 2006 Standard Edition в режиме рабочей группы до Forefront TMG. ISA 2006 должна являться членом домена, но есть возможность перейти с ISA 2006 на Forefront TMG, не являясь частью домена Windows;
* Если у вас включена сеть Local Host для прослушивания клиентских запросов Web-прокси, эта опция не будет перенесена;
* В процессе перехода поля журнала, выбранные вами в ISA Server 2006, не будут переноситься;
* Настройки отчета о конфигурации не переносятся;
* Все функции ISA Server 2006 Supportability Pack не будут доступны после перехода, но мне кажется, что многие из этих функций будут частью Forefront TMG, когда продукт будет закончен;
* Перед тем, как обновляться до Forefront TMG, проверьте, совместимо ли другое ПО с Microsoft Forefront TMG.

Требования к установке для Forefront Threat Management Gateway:

* Компьютер с 64-битным процессором;
* Операционная система Windows Server 2008 64-bit;
* 1 ГБ или более оперативной памяти;
* 150 МБ свободного места на диске и еще немного свободного места для дополнительных файлов журнала, кэша и временных файлов (Внимание: в процессе установки TMG утверждается, что необходимо 630 МБ);
* Файловая система раздела должна быть NTFS;
* Минимум одна сетевая карта в случае, если Forefront TMG будет использоваться в качестве proxy или реверсного сервера публикования. Для полной функциональности в качестве брандмауэра необходима одна или несколько дополнительных сетевых карт.

Другие соображения.

Есть еще некоторые соображения, которые нужно учитывать при планировании использовать Forefront TMG. Эту информацию я нашел на вебсайте Microsoft Forefront TMG.
Forefront TMG, установленный по сценарию Essential Business Server, перехватывает весь IPv6 трафик. Для последующей установки Forefront TMG обратите внимание вот на что:

* Forefront TMG отказывает в IPv6 трафике;
* ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) отключается;
* Интерфейс 6to4 отключается. Этот механизм позволяет пакетам IPv6 передаваться по сети IPv4;
* При перезапуске службы Forefront TMG Control сервер Forefront TMG перерегистрируется с DNS для того, чтобы осталась только одна запись A для сервера, и не было записи AAAA (IPv6). Также очищается кэши DNS, Address Resolution Protocol (ARP) и Neighborhood Discovery (IPv6 версия ARP);
* Изменение папки установки Forefront TMG не поддерживается;
* По умолчанию система Forefront TMG настроена на ведение журнала в локальной базе данных SQL Server Express. Forefront TMG устанавливает несколько компонентов SQL Server Express, включая компоненты для журнала и отчетов;
* Forefront TMG устанавливает роль Web Server (IIS). Обратите внимание, что этот компонент не удаляется при удалении Forefront TMG;
* Службы и файлы драйверов, установленные Forefront TMG помещаются в папку установки Forefront TMG;
* Вы можете использовать Forefront TMG на компьютере с одной сетевой картой. Обычно вы будете так делать, когда другой брандмауэр располагается на границе сети, соединяя ваши корпоративные ресурсы с Интернетом.

Процесс перехода.

Итак, теперь, когда мы обсудили некоторые ограничения, касающиеся процесса перехода, и требования к установке Microsoft Forefront TMG, я покажу вам в обобщенном виде шаги по обновлению ISA Server 2006 до Microsoft Forefront TMG:

* Экспортируйте конфигурацию ISA Server 2006 в XML файл;
* Установите Microsoft Forefront TMG на 64-битную машину;
* Импортируйте экспортированный ISA Server 2006 XML файл в консоль управления Forefront TMG;
* Проверьте функциональность, доступные текущие исправления, журналы событий и т.п.;
* Модифицируйте настройки сертификата и VPN аутентификации при необходимости;
* Удалите старую систему ISA Server 2006 и поставьте новую систему Forefront TMG в вашу среду.

Внимание: в статье мы работаем с бета-версией Forefront TMG. Не стоит использовать эту версию как функциональный сервер.

Экспорт настроек.

Сначала выполните вход на машину с ISA Server 2006, запустите консоль управления ISA Server 2006 и щелкните на объекте Server для экспорта (Export (Back Up)) всей конфигурации ISA Server 2006.

Рисунок 1: Экспорт всей конфигурации ISA Server 2006.

Существует возможность экспортировать конфиденциальную информацию вроде разделяемых секретов RADIUS или настройки ролей ISA Server. Если вы хотите экспортировать конфиденциальную информацию, вам необходимо указать пароль, защищающий XML файл от попыток неавторизованного импорта.

Рисунок 2: Экспорт конфиденциальной информации.

Затем укажите имя файла для конфигурационного файла ISA Server 2006.

Установка Forefront TMG.

Начните установку Forefront TMG и выберите сценарий установки, который вы хотите следовать. Если вы хотите установить полный набор служб Forefront TMG без зависимостей, выберите первую опцию установки.

Рисунок 3: Выберите нужный вам сценарий установки.

Выберите компоненты, которые вы хотите установить. В нашем случае мы устанавливаем все доступные компоненты.

Рисунок 4: Выберите нужные вам функции.

Установка Forefront TMG длится немного дольше, чем установка ISA Server 2006, так что у вас будет время для чашечки кофе.

После успешного завершения установки Forefront TMG при первом запуске консоли управления Forefront TMG вызывается мастер Getting Started, который поможет вам выполнить первоначальную настройку. Этот шаг не является необходимым, если вы хотите импортировать конфигурацию ISA Server 2006. Вы можете использовать этот мастер уже после успешного переноса конфигурации ISA Server 2006.

Рисунок 5: Forefront TMG мастер Getting Started.

Импортируйте (Import (Restore)) конфигурацию ISA Server 2006.

Рисунок 6: Импорт экспортированной конфигурации ISA Server 2006.

Укажите имя файла экспортированной конфигурации ISA Server 2006.

Рисунок 7: Укажите имя XML файла экспортированной конфигурации ISA Server 2006.

В процессе перехода конфигурация Microsoft ISA Server 2006 обновится для Forefront TMG.

Рисунок 8: Конфигурация ISA 2006 обновляется в формат TMG.

Введите пароль, который вам нужно было ввести при экспорте конфигурации ISA Server 2006 с включенной опцией экспорта конфиденциальных настроек.

Рисунок 9: Введите пароль для открытия файла экспорта.

Теперь Forefront TMG импортирует и преобразуется настройки из конфигурации ISA Server 2006. Это может занять несколько минут в зависимости от размера экспортированной конфигурации ISA Server 2006 и производительности машины с Forefront TMG.

Рисунок 10: В зависимости от производительности сервера и количества импортируемых данных, импорт конфигурации может занять некоторое время.

После успешного импорта конфигурации щелкните Apply для сохранения конфигурационных настроек.

Теперь настало время проверить, все ли настройки были успешно перенесены. Возможно, некоторые из них перенести невозможно в силу различия между ISA Server 2006 и Forefront TMG.

Рисунок 11: Поздравления, политики брандмауэра были успешно импортированы.

Замечание: ISA Server 2006 является частью домена Windows 2003 и группы Windows, имеющей доступ к VPN функциям ISA Server. Целевой сервер Forefront TMG Server является членом рабочей группы, поэтому информация о конфигурации VPN становится ненужной. Вам следует вручную удалить эти и еще некоторые настройки.

Рисунок 12: Пользовательская группа Windows, ставшая ненужной из-за того, что целевой сервер не является частью того же домена и дерева.

В процессе перехода статически настроенные диапазоны адресов клиентов VPN не были успешно импортированы. Forefront TMG указывает на конфигурационную ошибку, считая диапазон адресов клиентов VPN пустым. Я думаю, что эта ошибка касается только моей машины, а если нет, то Microsoft решит эту проблему в последней версии Forefront TMG.

Рисунок 13: После импорта появились некоторые конфигурационные ошибки.

В Microsoft Forefront TMG есть множество файлов журнала, которые будут созданы при установке или в процессе импорта из ISA Server 2006. Вам нужно проверить эти файлы, если вы сталкиваетесь с проблемами в процессе перехода.

Рисунок 14: Множество файлов журнала, созданный в процессе установки и импорта конфигурации.

Вывод ISA 2006 из эксплуатации.

* После успешного импорта конфигурации в Forefront TMG пора заменить ISA Server на Forefront TMG. Вот что для этого нужно сделать:
* Отключить Forefront TMG от всех сетей;
* Переписать все IP адреса с ISA Server на Forefront TMG;
* Выключить сервер TMG;
* Пересоединить все кабели от сервера ISA к серверу TMG;
* Выключить сервер ISA;
* Запустить сервер Forefront TMG;
* Проверить корректность работы сервера Forefront TMG;
* Запустить сервер ISA снова без сетевых соединений и удалить ISA Server со старой машины.

Заключение.

В этой статье я попытался показать вам, как перейти с ISA Server 2006 на новую систему Microsoft Forefront TMG Server. Не существует возможности обновления на месте, так как Microsoft Forefront TMG можно запустить только под Windows Server 2008 64 Bit, а ISA Server 2006 работает на 32-битной платформе, поэтому вам необходимо экспортировать конфигурацию работающего сервера ISA Server 2006 и импортировать эту конфигурацию на новый сервер с Microsoft Forefront TMG Server. Процесс перехода аналогичен обновлению с ISA Server 2004 до ISA Server 2006, но, пожалуйста, помните, что в этой статье мы работаем с бета-версией Microsoft Forefront TMG, и в финальной версии могут произойти некоторые изменения.

Автор. Марк Гроут (Mark Grote).
По материалам сайта Isaserver.ru